Além do compliance: segurança cibernética baseada em riscos

As análises de riscos compõem o cotidiano da maioria dos gestores em sua tomada de decisões referentes aos mais variados aspectos, que devem incluir também a segurança cibernética, assunto em alta na atualidade.

Trata-se de uma área crítica e de papel preponderante para o funcionamento de um negócio. Por isso, os riscos devem ser constantemente avaliados.

As interrupções imprevistas de um serviço, por exemplo, representam um risco considerável. Sem falar sobre os possíveis custos diretos ou indiretos da perda de dados.

Os dados são hoje um dos mais importantes ativos empresariais e como a maioria deles é tratada e armazenada digitalmente, torna-se evidente a importância do investimento em segurança cibernética.

A maioria dos processos organizacionais, desde a conquista e a fidelização de clientes, passando pelas campanhas de marketing, até a gestão financeira e o pós-venda, envolve o ambiente digital.

Essa realidade cria inumeráveis oportunidades para que os cibercriminosos atuem com potencialidade para causar grandes estragos.

Mas ainda que esse contexto seja alarmante e os riscos sejam extremamente impactantes, construir uma estratégia de segurança cibernética baseada em riscos é um desafio para muitas organizações.

Quando falamos sobre a importância de criar uma estratégia baseada em riscos, estamos nos referindo aos riscos específicos corridos pelo seu negócio, às vulnerabilidades que necessitam de maior atenção.

Daí a dificuldade de estruturação. Por depender de suas próprias especificidades, os gestores não encontram modelos prontos e acabam apenas seguindo as regras legais e as políticas de compliance.

É claro que seguir as regras é necessário, mas não é o suficiente para proteger o seu negócio de todos os riscos que ele corre.

Ao longo dos próximos tópicos você vai compreender a importância de ter uma estratégia de segurança cibernética com base nos riscos e como construí-la. Aproveite a leitura!

Importância de contar com uma segurança cibernética baseada em riscos

De acordo com a pesquisa Gartner’s 2020 CISO Effectiveness Survey, as empresas contam, em média, com 16 ferramentas de segurança, sendo que 12% delas relataram 46 ou mais.

Assim, o que falta não são ferramentas e sim uma estratégia devidamente alinhada com a realidade do negócio, que englobe insights acionáveis, a devida priorização de respostas e remediações e a conformidade.

Ou seja, a tendência é a busca por metodologias que permitam a convergência e a colaboração de pessoas, tecnologias e processos ligados à segurança cibernética.

Nesse contexto, devemos lembrar que as leis focadas na proteção de dados têm ganhado visibilidade mundo afora, incluindo a Lei Geral de Proteção de Dados brasileira.

O objetivo final, é claro, é manter os dados seguros, combatendo o cibercrime e tornando os negócios mais transparentes.

Porém, a atenção voltada para a conformidade ou compliance pode obscurecer a visão geral do negócio no que diz respeito à segurança cibernética.

A compliance regulatória tem sido aplicada aos mais diversos objetivos, desde a proteção de identidades até a criação de políticas de governança de dados.

É compreensível que os gestores priorizem o cumprimento das regras, principalmente porque muitas delas preveem penalidades severas para violações.

Além disso, o espectro da não conformidade em si já é um sério risco que nenhum gestor está disposto a correr.

Contudo, mesmo que as regulamentações tenham o propósito de abordar amplamente os riscos cibernéticos e facilitar a ação dos gestores, isso não basta para proteger as empresas das ameaças atuais.

Os próprios cibercriminosos monitoram ativamente os requisitos regulatórios para ajustarem suas táticas em tempo real.

Isso significa que, mesmo que sua empresa conte com uma alta performance no que diz respeito à compliance, ela pode estar ignorando lacunas muito relevantes, que se referem ao seu ambiente operacional específico.

É nesse sentido que compreendemos a importância de definir os riscos de segurança cibernética concernentes ao seu negócio e de implementar recursos, estratégias e proteções de maneira adequada.

Sim, você precisa de uma estratégia que seja adequada para a realidade da sua empresa e alcance, simultaneamente, o reforço das defesas cibernéticas e a manutenção contínua da conformidade.

Para isso, é necessária uma perspectiva mais ampla, que vai além da compliance, o que pode ser mais complicado para empresas de maior porte, que costumam ter a compliance entranhada em sua cultura organizacional.

Nessas empresas, uma das funções da auditoria geralmente é orientar as decisões sobre como, quando e onde os investimentos em segurança cibernética devem ser feitos.

Isso torna a estratégia limitada, porque as orientações se baseiam apenas na regulamentação e não na realidade específica do negócio em termos de riscos.

Construir uma estratégia de segurança cibernética baseada em riscos que tenha bons resultados pode ser um desafio para qualquer tipo de negócio.

Por isso, nos próximos tópicos vamos enumerar as melhores práticas que vão te ajudar a cumprir esta missão.

Como criar uma estratégia de segurança cibernética baseada em riscos

Para começar a pensar em um modo eficiente de tratar a segurança cibernética dentro da sua empresa, foque nos três seguintes princípios:

• Sua concentração deve estar nos pontos em que o comprometimento de segurança pode causar maiores danos;
• Você precisa identificar as áreas de maior risco para negócio;
• Suas decisões sobre onde depositar os recursos destinados à segurança cibernética devem ser fundamentadas e baseadas em fatos.

Com esses pressupostos em mente, você pode começar a construir a sua estratégia seguindo os passos sobre os quais falaremos em seguida.

Definir e medir os riscos organizacionais

Um dos grandes empecilhos para a utilização consistente de uma metodologia de segurança cibernética baseada em risco é a falta de definição sobre o que representa um risco e de um vocabulário comum que ajude gestores e colaboradores na tomada de decisões de segurança.

Muitos gestores recorrem à definição clássica de risco, que engloba a probabilidade de que algo aconteça e quão ruim seria o impacto desse acontecimento.

Essas informações são importantes, mas é preciso estabelecer um alinhamento sobre como a probabilidade e o impacto serão medidos.

Além disso, também é importante saber qual será a tolerância de risco apropriada da empresa para que políticas e tecnologias sejam aplicadas no sentido de consolidar uma postura de manutenção do risco abaixo do limite.

Na atualidade, são diversas as posturas tomadas pelos gestores em relação à identificação e mensuração de riscos. Não há um acordo universal sobre isso, pois cada empresa pode ter um limite de riscos diferente.

Porém, é importante que haja um consenso dentro dos diferentes setores de uma mesma empresa.

Para isso, um importante primeiro passo é estabelecer um entendimento comum sobre como especificamente o impacto do risco de segurança cibernética será mensurado.

E a criação de um parâmetro de mensuração pressupõe a compreensão por toda a equipe, incluindo os gestores, de onde os dados estão armazenados e de como os sistemas e processos da empresa estão conectados à internet, seja diretamente ou pelos serviços de nuvem.

Quando essas informações não estão claras para todos, pode ocorrer, inclusive, uma superestimação dos riscos, já que o foco recai sobre o custo da interrupção operacional.

Nesse caso, os controles de mitigação são pouco considerados e não há um equilíbrio na análise.

Por isso, um bom ponto de partida é o estabelecimento de um método lógico de identificação e classificação dos principais impactos nos negócios que podem resultar de um ataque cibernético.

O passo seguinte é discutir a probabilidade dos riscos, o que exige um bom nível de conhecimento técnico.

Sendo assim, o melhor caminho a ser tomado pelos gestores é assumir que o comprometimento de qualquer dado ou processo conectado à internet gera uma possibilidade de risco.

Além disso, também é importante considerar que qualquer proteção ou capacidade de detecção poderá reduzir, mas não eliminar o risco.

Nesse sentido, outra questão importante é saber, a partir da determinação dos riscos, quanta proteção é suficiente.

Essa definição pode ser elaborada a partir do entendimento de quando é que o tempo de inatividade do seu sistema ou a perda de um conjunto de dados deixa de ser inconveniente e passa a ser doloroso.

Para chegar a esta informação de uma maneira mais objetiva, você pode utilizar métricas como a receita perdida por dia e os valores de cobertura de seguro.

Pensando dessa forma, será mais simples compreender a tolerância do seu negócio ao risco em geral e derivar a tolerância para o risco cibernético.

Contar com auxílio externo na avaliação do risco de segurança cibernética

Você não precisa terceirizar todas as suas funções de TI ou Segurança para contar com a ajuda de uma organização externa experiente na avaliação da exposição ao risco e dos possíveis impactos no seu negócio.

Quando você tem tempo, disposição e capacidade para mergulhar nos detalhes e entender profundamente os riscos do seu negócio, a orientação de um terceiro qualificado é muito positiva.

Uma opinião externa conta muito, por exemplo, para executivos e membros do conselho, o que pode levar sua estratégia de segurança cibernética a um novo patamar.

O risco cibernético tem sido uma preocupação para os conselhos corporativos, que são orientados por notícias e tornam-se mais alarmados com informações sobre ataques de ransomware e guerras cibernéticas.

De acordo com o relatório anual do IBM, o custo médio da o custo médio da violação de dados aumentou em 2021 de US 3,86 milhões para US$ 4,24 milhões. Este é o maior aumento por ano nos 17 anos em que os relatórios vêm sendo elaborados.

Os dados são alarmantes e, nesse sentido, poder contar com um parecer externo é um recurso muito valioso.

Se você tem certa resistência a contratar esse tipo de ajuda, pense nas organizações que rotineiramente contam com auditores externos para opinar sobre a precisão e integridade das demonstrações financeiras.

Por essa perspectiva, faz muito sentido que uma avaliação sobre riscos de segurança cibernética seja tratada da mesma forma.

Além da sua própria insegurança sobre essa possibilidade, é provável que outras pessoas dentro da sua empresa também não fiquem entusiasmadas com esse tipo de terceirização.

Muitos líderes de negócios não acreditam que a probabilidade de um desastre cibernético seja suficientemente significativa para justificar o esforço.

Além disso, as próprias equipes internas de TI ou Segurança, que já estão familiarizadas com os riscos cibernéticos da empresa, podem se sentir desvalorizadas.

É claro que esse tipo de resistência precisa ser trabalhada no sentido de estabelecer um alinhamento com o propósito da solicitação de ajuda externa.

Obviamente, a opinião da sua equipe precisa ser capturada e considerada na elaboração da sua estratégia de segurança cibernética.

Quando enquadrada adequadamente entre todas as partes interessadas, uma opinião externa qualificada pode fornecer confiança, clareza e consistência na identificação, avaliação e contabilização dos riscos.

Avaliar o risco a partir da visão do que é possível

Ainda que os dados concretos e a objetividade sejam o alicerce da concepção de uma boa estratégia, uma tomada de decisão assertiva também requer imaginação.

Quando um negócio não tem nenhuma experiência relacionada a desastres cibernéticos, todas as possibilidades parecem muito remotas. Mas não são.

Não é porque algo nunca aconteceu que a possibilidade de acontecer pode ser descartada. Então, considere todos os cenários possíveis, mesmo que suas chances de concretização sejam remotas ou sem precedentes.

A imaginação é um requisito essencial quando o assunto é segurança cibernética. Só com ela você entende adequadamente os riscos.

Portanto, leve sua imaginação ao limite na identificação, avaliação, mensuração e minimização dos riscos cibernéticos do seu negócio.

Além disso, busque implementar uma cultura organizacional voltada para este aspecto. Não espere que um incidente aconteça para colocar em prática todas as ações preventivas necessárias para evitá-lo.

Crie um roteiro de ações a serem colocadas em prática

A sua estratégia de segurança cibernética com base em riscos só estará consolidada quando toda a sua equipe souber exatamente o que fazer em relação aos riscos.

Assim, deve ser possível, de um ponto de vista prático, monitorar continuamente o cenário de ameaças, emitir respostas rápidas e avaliar as métricas relevantes para o negócio.

O primeiro passo é a detenção do controle sobre todos os ativos de TI no ambiente da organização.

O gerenciamento eficaz da superfície de ataque começa com uma base de avaliação completa de ameaças e as organizações precisam de uma maneira confiável de quantificar seu verdadeiro risco de segurança cibernética.

Em seguida, é o momento de reduzir o risco consolidando ferramentas de segurança cibernética em uma plataforma unificada com recursos de automação para monitoramento, detecção e correção de riscos.

As etapas acionáveis ​​para reduzir o risco devem ser atribuídas às equipes de segurança, TI ou conformidade em seu sistema de escolha.

Em seguida, você deve relatar o risco por meio de painéis automatizados com métricas claras e definidas pelo risco em relação aos padrões do setor e práticas recomendadas.

Por fim, manter as suas táticas aplicadas à segurança cibernética alinhadas com as tendências atuais e sempre focadas na gestão de riscos deve ser uma prática constante. Acesse nosso blog e leia outros artigos igualmente esclarecedores sobre o assunto. Até o próximo conteúdo!